close
تبلیغات در اینترنت
حمله Z-Wave Downgrade بیش از ۱۰۰ میلیون دستگاه اینترنت اشیا را تحت تاثیر خود قرار داده است
loading...

آژانس دیجیتال مارکتینگ بهیدو

  آخرین استانداردهای امنیتی برای این پروتکل که چارچوب امنیتی S2 نام دارد از مکانیسم تبادل کلید پیشرفته  همچون کلید ناشناس ECDH برای به اشتراک گذاری کلیدهای منحصر به فرد شبکه بین کنترلرها و دستگاه های مشتری در طول جفت سازی دستگاه ها استفاده می کند. حتی بعد از اینکه آزمایشگاه سیلیکون( شرکتی که صاحب این پروتکل است) استفاده از آخرین نسخه امنیتی این پروتکل برای دستگاه های اینترنت اشیا را اجباری کرد اما هنوز هم میلیون ها دستگاه هوشمند از نسخه قدیمی پروتکل به نام چارچوب S0 پشتیبانی می کنند. حمله…

حمله Z-Wave Downgrade بیش از ۱۰۰ میلیون دستگاه اینترنت اشیا را تحت تاثیر خود قرار داده است

بهین مبتکران ایده بازدید : 2 یکشنبه 18 آذر 1397 نظرات ()

 

آخرین استانداردهای امنیتی برای این پروتکل که چارچوب امنیتی S2 نام دارد از مکانیسم تبادل کلید پیشرفته  همچون کلید ناشناس ECDH برای به اشتراک گذاری کلیدهای منحصر به فرد شبکه بین کنترلرها و دستگاه های مشتری در طول جفت سازی دستگاه ها استفاده می کند. حتی بعد از اینکه آزمایشگاه سیلیکون( شرکتی که صاحب این پروتکل است) استفاده از آخرین نسخه امنیتی این پروتکل برای دستگاه های اینترنت اشیا را اجباری کرد اما هنوز هم میلیون ها دستگاه هوشمند از نسخه قدیمی پروتکل به نام چارچوب S0 پشتیبانی می کنند.

حمله سقوط Z-Wave بیش از ۱۰۰ میلیون دستگاه IoT را برای هکرها باز کرده است!!

استاندارد S0 برای آسیب پذیری بزرگی در سال ۲۰۱۳ دردسرساز شد. این موضوع بدین خاطر بود که چنین استانداردی از کلید رمزگذاری شده Hardcode برای محافظت از کلید شبکه استفاده می کند و همین امر به هکرها اجازه می دهد طیف وسیعی از دستگاه ها را برای تفسیر ارتباطات موجود مورد استفاده قرار دهند.

Z-Wave

محققان انگلیسی بعد از تجزیه و تحلیل پروتکل Z-Wave دریافتند دستگاه هایی که از هر دو نسخه مکانیسم اشتراک کلید استفاده می کنند مجبور می شوند فرآیند جفت سازی را از S2 به S0 سقوط (Downgrade) نمایند. این حمله که توسط محققان با نام Z-Shave نامیده شد باعث می شود هکرها و حمله کنندگان در طول فرایند جفت سازی دو دستگاه راحت تر با تبادل کلید تداخل ایجاد نماید و  از کلید شبکه برای دستور دادن به دستگاه ریموت استفاده کند.

محققان این آسیب پذیری را در حال مقایسه فرایند تبادل کلید با استفاده از S0 و S2 پیدا کردند با اینحال متوجه شدند که  اطلاعات node  که در برگیرنده کلاس امنیتی است به طور کلی به صورت رمزگذاری نشده و تایید هویت نشده انتقال پیدا می کند. همین امر به هکرها اجازه می دهد  دستورات node را منتشر کنند یا بدون تنظیم کلاس امنیتی با این دستورات تداخل ایجاد نمایند.

Z-Wave

محققان کن مونرو و اندرو تیرنی از قفل هوشمند درب Conexis L1( محصول شرکت انگلیسی Yale  است که ۳۶۰ دلار قیمت دارد) استفاده کردند و قادر بودند امنیت آن را کاهش دهند.

این افراد حتی توانستند  کلید و دسترسی دائمی به این قفل را از آنِ خود کنند و به همین خاطر  بدون اطلاع فرد از آن استفاده نمایند و محافظت شده بمانند.

شما می توانید ویدئوی مربوط به این حملات را هم مشاهده کنید. در این ویدئو محققان نحوه استفاده هکرها ازاین شرایط برای باز کردن قفل درب را نشان داده اند.

حمله باز کردن رمز S0  در اصل توسط شرکت مشاور امور امنیت سایبری با نام SensePost در سال ۲۰۱۳ شناسایی شد اما در آن زمان ازمایشگاه سیلیکون این موضوع را مشکل  و تهدید جدی در دنیای واقعی نمی دانست زیرا  به بازه زمانی  فرایند جفت سازی محدود بود. آزمایشگاه سیلیکون پست وبلاگی را در پاسخ به یافته های شرکای Pen test در روز چهارشنبه منتشر کرده و بیان کرده است دستگاه های هوشمند این شرکت امن است و  در معرض هیچ تهدیدی نیست. این پست وبلاگی چنین می گوید: S2 یکی از بهترین استانداردهای موجود برای امنیت دستگاه های هوشمند امروزی است و هیچ آسیب پذیری در آن دیده نشده است. این پروتکل برای تمامی محصولات Z-wave جدیدی که  در ۲ اوریل سال ۲۰۱۷ ثبت گواهی کرده اند اجباری است.

با اینحال این شرکت بیان کرده است که پذیرش چارچوب S2 در سرتاسر اکوسیستم یک شبه اتفاق نمی افتد و  این مشکل در Z-wave برای ارائه سازگاری بازگشتی وجود دارد. به همین خاطر دستگاه های S2 می توانند  در شبکه S0 کار کنند و بالعکس. همچنین این شرکت در گزارش خود بیان کرده است که روش هایی برای هشدار دادن به کاربران زمانی که دستگاه به کمک ارتباط داون گرید شده به شبکه متصل می شود وجود دارد.  اما سازندگان دستگاه های اینترنت اشیا  به ندرت رابط کاربری مناسبی برای نشان دادن چنین هشدارهایی فراهم می کنند و همین امر باعث می شود کاربر متوجه چنین حملاتی نشود.

مطالب مرتبط
ارسال نظر برای این مطلب

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتیرفرش کد امنیتی
تبلیغات
Rozblog.com رز بلاگ - متفاوت ترين سرويس سایت ساز
درباره ما
درباره بهیدو شرکت بهین مبتکران ایده با نام اختصاری «بهیدو» یک مجموعه تخصصیِ فعال در زمینه تجارت الکترونیک است . ارائه خدمات حرفه ای در حوزه طراحی وب سایت ، اپلیکیشن های موبایل ، سئو و دیجیتال مارکتینگ در دپارتمان های این شرکت به طور تخصصی انجام می شود.ما به تجارت شما کمک می‌کنیم در فضای مجازی حضوری قدرتمند و تاثیرگذار داشته باشید. به خوبی معرفی شده، دیده شوید و با کاربران فعلی و مشتریان آینده ارتباط برقرار کنید.
اطلاعات کاربری
نام کاربری :
رمز عبور :
  • فراموشی رمز عبور؟
  • آرشیو
    آمار سایت
  • کل مطالب : 332
  • کل نظرات : 0
  • افراد آنلاین : 1
  • تعداد اعضا : 0
  • آی پی امروز : 3
  • آی پی دیروز : 30
  • بازدید امروز : 6
  • باردید دیروز : 68
  • گوگل امروز : 0
  • گوگل دیروز : 0
  • بازدید هفته : 344
  • بازدید ماه : 787
  • بازدید سال : 787
  • بازدید کلی : 3,410